Terug naar Ransomware is overal: zo bescherm je je Mac (en je portemonnee)
Geen resultaten gevonden.
Toon meer resultaten
Workshops

Ransomware is overal: zo bescherm je je Mac (en je portemonnee)

Door Sven Lamers6 februari 2020 15:094 min. leestijd35

Ransomware is overal, ook op de Mac. Volgens de Autoriteit Persoonsgegevens nam het aantal meldingen over ransomware in 2019 met een kwart toe. Van 2016 tot 2019 steeg het aantal zelfs met 1555% – van 58 meldingen naar 902! En dan hebben we het niet eens over het aantal niet gemelde gevallen dat waarschijnlijk nog véél hoger is.

Een prominent voorbeeld was onlangs in het nieuws. Rond de kerst afgelopen jaar had de Unversiteit Maastricht last van een grote ransomware-aanval. Hackers sluizden ransomware in het universiteitsnetwerk, versleutelden bestanden en eisten losgeld. Volgens de Volkskrant heeft de universiteit uiteindelijk tussen de 200.000 tot 300.000 euro betaald om weer bij de bestanden te kunnen. Hoog tijd dus om je systemen goed te beveiligen.

Nu denk je misschien dat je met een Mac sowieso veilig bent, maar nee: er bestaat ook ransomware voor Mac en deze is niet minder gevaarlijk dan zijn Windows-tegenhangers. Wel heb je met macOS veel betere mogelijkheden om je te beschermen. Hier laten we een gratis programma zien dat je al bij de kleinste aanwijzingen op ransomware waarschuwt en de mogelijkheid biedt om het virus te verwijderen.

iCreate 117
iCreate 117
Super-wifi: overal in huis razendsnel internet

Hoe werkt ransomware op de Mac?

Ransomware, ook wel gijzelsoftware genoemd, is een bijzonder sluwe virus-variant. Deze maakt je computer niet trager, noch verspreidt die spam op het wereldwijde web. Een ransomware maakt alle bestanden op je harde schijf ontoegankelijk, door ze te versleutelen. Vervolgens verschijnt een venster op het scherm waarin hackers losgeld eisen om de bestanden te ontgrendelen. Overigens is dit maar uiterst zelden een realistische optie, want vaak hebben de hackers zelf geen mogelijkheid om de bestanden nog te ontcijferen. Vooral niet het losgeld betalen dus, maar beter meteen de politie inschakelen!

Bekende ransomware uit het verleden zijn WannaCry en Locky, op dit moment is Ryuk in omloop, vaak in combinatie met Emotet. Van deze ransomware varianten zijn vaak ook Mac-versies te vinden. De eerste Mac-ransomware was KeRanger. Kijk hier voor een overzichtspagina met allerlei virussen, malware en ransomware voor de Mac.

RansomWhere?

De beveiligingsonderzoeker en ontwikkelaar Patrick Wardle heeft een aantal slimme (en gratis) apps gemaakt die macOS vele malen veiliger maken. Een daarvan is RansomWhere?. Dit programma controleert of er ergens op je harde schijf bestanden door ransomware versleuteld worden (met minimale systeembelasting). Is dit het geval, kun je dat proces meteen afsluiten en met behulp van het weergeven pad het virus verwijderen. Zo installeer je de app.

In de komende weken gaan we nog meer van deze praktische hulpmiddelen bespreken. Houd onze site in de gaten of abonneer je op onze nieuwsbrief.

1. Ransomware op de Mac

Ransomware Mac stap1

RansomWhere? is de app die je tegen ransomware op de Mac moet hebben. Download het programma, pak het zip-bestand uit en open ‘RansomWhere_installer’.

2. App installeren

Ransomware Mac stap2

Bevestig het openen van de installatie, voer je Mac-wachtwoord in en klik in het volgende venster op ‘Install’. Dat was het al! Nu vraagt de ontwikkelaar nog om donaties, maar dit is uiteraard niet verplicht. Klik op ‘Next’ en daarna op ‘No’ en de installatie wordt afgesloten.

3. RansomThere!

Ransomware Mac stap3

Het programma checkt nu continu op de achtergrond of een verdacht programma bestanden versleutelt, dus precies wat een ransomware zou doen. Via ‘Terminate’ sluit je het verdachte programma af en kun je het daarna verwijderen.

Melding gekregen?

Heb je een melding van RansomWhere? gekregen? Blijf dan vooral rustig en lees aandachtig wat er staat. Sommige ‘normale’ apps willen namelijk zo nu en dan ook bestanden versleutelen. Zo kregen we te horen dat de Adobe Acrobat Updater soms RansomWhere? triggert. We hebben dit gecheckt en blijkbaar versleutelt de updater inderdaad een deel van zijn eigen bestanden. Dit is normaal gedrag en je mag het gerust vertrouwen. Een goed signaal is overigens de regel ‘sign: validly signed by Apple’ in de melding van RansomWhere?. Als dit er staat, is de kans al enorm veel kleiner dat het echt om ransomware gaat.

100% veilig tegen ransomware op Mac?

Uiteraard is ook RansomWhere? niet 100% veilig, maar dat ben je nooit. Zo gaat het programma ervan uit dat je systeem tijdens de installatie nog niet besmet is. Alles wat tijdens de installatie op je Mac staat, wordt als veilig bestempeld. Het slimst is het dus om de app meteen na een schone installatie van macOS op je Mac te zetten.

Wekelijks Apple nieuws in je mail
Wekelijks Apple nieuws in je mail
  • Handige Apple-tips
  • Altijd up-to-date
  • Leuke acties
Aanmelden

35
Praat mee!

avatar
nieuwste eerstoudste eerst
B. Kjaer
Lezer
B. Kjaer

Hoe weten jullie dat Ransomwhere zelf geen programma is dat juist voor versleuteling zorgt?

Joop
Lezer
Joop

Ik heb bitdefender op mijn wifi systeem (Orbi). Die beschermt al tegen ransomware. Kan ik desondanks dit programma nuttig gebruiken of is het overbodig?

A. Van der Lek
Lezer
A. Van der Lek

Wordt de back-upschijf voor de Time machine ook geïnfecteerd bij een ransomware aanval? En zo ja, is het dan aan te bevelen om deze alleen aan te sluiten voor een backup en niet continu in de Mac te laten zitten?

A. Van der Lek
Lezer
A. Van der Lek

Is er ook een manier om ransomwere op te sporen zonder eerst een schone installatie te doen?

Jan
Lezer
Jan

RansomWhere maakt bij installatie een lijst aan van “trusted” software die op dat moment op je Mac aanwezig is. Hierdoor wordt eventueel al aanwezige ransomware geclassificeerd als “veilig”. Vandaar het advies om vanaf een schone installatie te starten. In het artikel van Patrick Wardle vind je echter ook instructies om de lijst van veilige processen te wissen. Ik neem aan dat de “prijs” die je hiervoor betaalt is dat je een groot aantal “allow” clicks moet geven, terwijl je niet altijd over de kennis zult beschikken om te beoordelen of een process veilig is of niet.

Frans van Dooren
Lezer
Frans van Dooren

Ik heb Ransomwhere geinstalleerd maar zie dit nergens terug. Niet in het Launchpad of apps. Ik zie ook niet dat er iets gebeurd.

Hans Reinders
Lezer
Hans Reinders

Tja, Ik ken Patrick Wardlle niet en kan niet beoordelen of ik hier het paard van Troje binnen haal.
Waarom heeft Apple niet zoiets?

Peter
Lezer
Peter

kan het niet openen na downloading. ?? Virus scan ff uitgezet.maakt niet uit

Nico V
Lezer
Nico V

Hoe kan je deze app in de toekomst weer verwijderen als je dat wilt?

Nico V
Lezer
Nico V

sorry heb het al gevonden, via de install App

Mehmet
Lezer
Mehmet

wat is install app? weer een losse app die ik moet installeren

Siegfried
Lezer
Siegfried

Heeft het nog invloed op de performance van je Mac? Net als vele virusscanners dit kunnen veroorzaken.

Dick Metselaar
Lezer
Dick Metselaar

Ik heb enthousiast als ik ben deze app Randsomwhere geïnstalleerd maar ik heb de indruk dat dit weer zo’n processie is dat de sluimerstand onmogelijk maakt. Hoe kan ik hem weer de-installeren?

ps. installeren ging zonder probleem, geen vraag om een abo gezien.

ps2, sorry, mijn vraag over de-installatie al gevonden hieronder, maar toch wel benieuwd of dit ding het in sluimerstand kan tegenhouden, want dat gebeurt namelijk weer. sinds hij er op staat.

Rick Kreelekamp
Lezer
Rick Kreelekamp

Enige dagen geleden geïnstalleerd en plots verschijnt er vandaag een melding in beeld:

bash’s kids are 🔒’ing files!
proc: (25718) /bin/bash
sign: validly signed by Apple

Bij files wordt verwezen naar Adobe Acrobat updater.
Geen idee of ik dit proces kan vertrouwen of moet Terminaten. Is er ergens een whitelist te vinden?

Allon Verheul
Lezer
Allon Verheul

Ik heb RansomWhere zojuist geinstaleerd, alleen ik kan het nog niet terug vinden bij de activiteitenweergave. Klopt het dat het even duurt voordat het verschijnt? en verschijnt het ook onder de Ransomwhere?

Coen van Onselen
Lezer
Coen van Onselen

Hallo Sven, Ik heb RansomWhere op de iMac staan (een week of twee). Er komt nu al een paar keer hetzelfde bericht in beeld na terminating. Bericht: rooksd is 🔒 ‘ing files! proc; (159) / library/rapport/bin/rooksd sign: validly signed with a Apple Dev-ID ll ad-hoc files: (een hele code voor system) Weet jij wat rooksd is? En hoe kan je, als dit niet betrouwbaar is na ‘terminate’ definitief er van af komen? Hoor graag van je, alvast bedankt.